Switch - Configurar DHCP Snooping

DHCP Snooping: Evitar que los atacantes o los usuarios de añadir su propio servidor DHCP a la red y sólo una lista blanca de direcciones IP pueden acceder a la red. Cuando se utiliza DHCP snooping, sólo se puede colocar el Servidor DHCP en un "Puerto de Confianza". El Puerto de Confianza puede ser definido manualmente por el administrador de la red. Todos los clientes pueden obtener la dirección IP del Servidor DHCP de "Confianza". Todas las asignaciones de direcciones IP DHCP también se registrarán en una tabla interna llamada "Tabla Snooping".

Esta tabla contiene estos atributos clave:

• Dirección MAC
• ID DE VLAN
• Dirección IP
• Número de puerto

Si existe un enlace, el switch reenvía el paquete o lo descarta si no encuentra ningún enlace.

Ahora, si hay otro Servidor DHCP conectado a la red, pero está ubicado en un puerto "no confiable", todos sus mensajes DHCP serán descartados en ese puerto y por lo tanto nadie más podrá obtener IP de este Servidor DHCP no autorizado.

- Configurar DHCP Snooping Global
- Configurar DHCP Snooping para VLAN
- Qué puede ir mal

1) Configurar DHCP Snooping

1.1 Configurar DHCP Snooping Global

Vaya a

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Status

Aquí puede ver el estado de la base de datos de su DHCP Snooping después de habilitarlo.

Navegue hasta

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Setup

VLAN DHCP: Seleccione un ID de VLAN si desea que el switch reenvíe paquetes DHCP a servidores DHCP en una VLAN específica (VLAN del servidor DHCP).

Nota: también debe activar DHCP snooping en la VLAN DHCP (VLAN del servidor DHCP).

1.2 Configurar Puerto de Confianza

Configure el estado de confianza del servidor navegando a:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. Port Setup

Puerto de confianza: para puertos conectados a servidores DHCP u otros switches.

Puertono fiable: para puertos conectados a clientes y servidores DHCP no fiables, y el switch descarta paquetes DHCP de puertos no fiables en las siguientes situaciones:

1. El paquete es un paquete de servidor DHCP (por ejemplo, OFFER, ACK o NACK).
2. La dirección MAC de origen y la dirección IP de origen del paquete no coinciden con ninguna de las vinculaciones actuales.
3. El paquete es un paquete RELEASE o DECLINE, y la dirección MAC de origen y el puerto de origen no coinciden con ninguno de los enlaces actuales.
4. La velocidad a la que llegan los paquetes DHCP es demasiado alta.

Nota: especifique el número máximo de paquetes DHCP (1-2048) que el switch recibe de cada puerto cada segundo. El switch descarta cualquier paquete DHCP adicional. Introduzca 0 para desactivar este límite, lo que se recomienda para puertos de confianza.

1.3 Configurar DHCP Snooping para VLAN

Antes de que pueda conseguir que DHCP snooping funcione correctamente para su VLAN, necesita configurar la configuración de DHCP Snooping VLAN.

Navegue a:

SECURITY > IPv4 Source Guard > DHCP Snooping > DHCP Snp. VLAN Setup

1.4 Guardar la configuración

No olvides guardar tu configuración cuando estés haciendo la configuración. Si no guardas la configuración, volverá a la configuración anterior cuando reinicies el switch.

1.4 Qué puede ir mal

A veces DHCP snooping puede no funcionar correctamente, a continuación puede encontrar una razón de por qué y cómo solucionarlo:

Si ha activado DHCP Snooping en la página de configuración del switch.

Y también establecer puertos de confianza y no de confianza, en consecuencia:

Para que DHCP Snooping funcione, tienes que seleccionar VLAN en la parte superior derecha.

Habilite la VLAN en la que desea implementar DHCP Snooping.

2) Configurar DHCP Snooping en la GUI heredada

Aplicación avanzada > Protección de origen IP > Configuración de la protección de origen IPv4 > DHCP Snooping > Configurar

VLAN DHCP: Seleccione un ID de VLAN si desea que el switch reenvíe paquetes DHCP a servidores DHCP en una VLAN específica (VLAN del servidor DHCP).

Nota: también debe activar DHCP snooping en la VLAN DHCP (VLAN del servidor DHCP).

Cómo configurar un puerto de confianza

• Aplicación Avanzada > IP Source Guard > Configuración de IPv4 Source Guard > DHCP Snooping > Configurar > P

Puerto de confianza: para puertos conectados a servidores DHCP u otros conmutadores.

Puertono fiable: para puertos conectados a clientes y servidores DHCP no fiables, y el switch descarta paquetes DHCP de puertos no fiables en las siguientes situaciones:

1. El paquete es un paquete de servidor DHCP (por ejemplo, OFFER, ACK o NACK).
2. La dirección MAC de origen y la dirección IP de origen del paquete no coinciden con ninguna de las vinculaciones actuales.
3. El paquete es un paquete RELEASE o DECLINE, y la dirección MAC de origen y el puerto de origen no coinciden con ninguno de los enlaces actuales.
4. La velocidad a la que llegan los paquetes DHCP es demasiado alta.

Nota: especifique el número máximo de paquetes DHCP (1-2048) que el switch recibe de cada puerto cada segundo. El switch descarta cualquier paquete DHCP adicional. Introduzca 0 para desactivar este límite, lo que se recomienda para puertos de confianza.

Cómo configurar DHCP Snooping para VLAN

• Aplicación avanzada > Protección de IP de origen > Configuración de IPv4 Source Guard > DHCP Snooping > Configurar > VLAN

Qué puede ir mal:

A veces DHCP snooping puede no funcionar correctamente, a continuación puede encontrar una razón de por qué y cómo solucionarlo: He activado DHCP Snooping en la página de configuración del switch.

He activado DHCP Snooping en la página de configuración del switch.

Para que DHCP Snooping funcione, tienes que seleccionar VLAN en la parte superior derecha.

Habilite la VLAN en la que desea implementar DHCP Snooping.